top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Monitoraggio dei controlli di security nell'IT

La pura implementazione di un controllo e' sufficiente?


Una delle principali problematiche relative alla sicurezza informatica riguarda il monitoraggio dei controlli di sicurezza implementati; ci si illude infatti spesso che sia sufficiente l’installazione di strumenti di monitoraggio senza considerare che è necessario implementare un processo di governance gestito da persone. Molto spesso infatti ci si limita ad “implementare” il controllo senza verificare in maniera periodica e costante la sua efficacia e la sua adeguatezza rispetto ai requisiti aziendali e cogenti.

 

L’attuazione di un controllo di security è spesso frutto di “imposizioni” esterne; si pensi ad esempio all’impatto dei requisiti prescritti dal Garante della Privacy in merito agli Amministratori di Sistema, o ai controlli richiesti dallo standard PCI DSS. Molto spesso i controlli sono sviluppati ad hoc per assolvere a requisiti regolatori, applicati con il minimo sforzo possibile e senza pensare troppo alla loro manutenzione, al loro monitoraggio ed alla valutazione della loro efficacia.

 

Viene quindi da chiedersi: ma la pura implementazione di un controllo garantisce la sicurezza dei sistemi informativi?

Ovviamente la modalità “implementation only” non è sufficiente a garantire un livello adeguato di sicurezza in quanto non è possibile verificare l’effettiva efficacia del controllo implementato.

 

D’altro canto, risulta spesso complicato definire cosa monitorare, con quale frequenza e con quale livello di dettaglio in quanto la valutazione dei controlli comporta l’impiego di risorse aggiuntive, quindi di costi per l’organizzazione. Inoltre un eccessivo “accanimento” nel monitoraggio dei controlli di sicurezza può comportare il rallentamento della normale operatività e può avere impatti significativi sul business aziendale. Si evince che deve essere correttamente commisurato il monitoraggio rispetto ai controlli per garantire un adeguato livello di sicurezza senza avere impatti significativi sulla produttività.

 

E quindi necessario valutare periodicamente tutti i controlli in essere per verificarne l’efficacia. Tale verifica sfortunatamente non può essere effettuata esclusivamente tramite strumenti automatizzati in quanto alcune criticità specifiche possono essere rilevate solo con controlli diretti e puntuali.

 

Il monitoraggio dei controlli di sicurezza dovrebbe quindi essere parte integrante della normale operatività, e l’efficacia dei controlli dovrebbe essere rivalutata completamente dall’azienda con cadenza almeno annuale all’interno di un processo ciclico di IT Control Evaluation che può essere effettuato come attività assestante o anche incluso in un processo più ampio di IT Risk Management.

 

I controlli di sicurezza

Come evidenziato in precedenza una delle principali criticità relativa al monitoraggio dei controlli di security sta nell’identificare cosa è necessario monitorare e con quale frequenza. In questo senso non esiste una soluzione applicabile a tutti i contesti, in quanto le esigenze di business (e di conseguenza i controlli che si applicano) non sono standardizzabili.

 

Sono presenti in letteratura molteplici approcci relativi alla valutazione dei controlli IT, quasi sempre legati a metodologie di IT Risk Management. L’ENISA (European Union Agency for Network and Information Security) ha censito tutte le metodologie e i tool di IT Risk Management[1]. In molte metodologie, al fine di valutare il rischio IT, vi è una parte di valutazione dei controlli di sicurezza.

 

È significativo rilevare come in alcune metodologie si posizioni la formazione come un punto centrale della sicurezza IT. Una adeguata formazione è la base per garantire un livello di sicurezza accettabile.

Monitorare l’adeguatezza e la completezza della formazione non è però semplice: i questionari di apprendimento, da compilarsi in seguito a corsi di formazione sono buoni strumenti, anche se non sempre sufficienti, in quanto non sempre riescono a rilevare l’effettivo apprendimento pratico di quanto descritto nella teoria. Viene quindi da chiedersi come sia possibile monitorare e rendere efficiente la formazione del personale. La soluzione più facile sarebbe quella di monitorare, , le competenze del personale durante l’operatività quotidiana e prontamente sanare eventuali mancanze. Tale soluzione presuppone una attenzione particolare per il personale che, in una visione a breve termine, comporta il rallentamento dell’attività produttiva e dei costi suppletivi, ma ragionando nel medio lungo termine questa attenzione – unita ad una formazione specifica - porta sicuramente innumerevoli benefici.

 

Senza entrare nel dettaglio delle singole metodologie (commerciali, open source o sviluppate ad hoc) è chiaro che queste debbano coprire tutti i processi al fine di valutare tutti i controlli di sicurezza IT in essere all’interno di un organizzazione. È quindi necessario capire quali siano i controlli da andare ad esaminare e monitorare.

 

In alcuni casi questa selezione non risulta essere molto semplice in quanto non riguarda una gestione prettamente “tecnica”. Si pensi ad esempio all’integrazione delle pratiche di sicurezza all’interno dei piani di business aziendali dove dovrebbero essere identificati controlli che riguardano le scelte del management aziendale in relazione alle strategie di sicurezza.

Pensandoci bene, anche utilizzando l’approccio proposto per la definizione dei Sistemi di Gestione per la Sicurezza delle Informazioni a norma ISO/IEC 27001:2013, il primo commitment per la sicurezza delle informazioni deve arrivare dal management che deve definire le linee guida (e mettere quindi a disposizione le risorse) per assicurare la sicurezza delle informazioni. Il monitoraggio di quest’area si può effettuare ad esempio analizzando il budget annuale che il management stanzia per le attività di sicurezza, oppure verificando la presenza di Service Level Agreement all’interno dei contratti o intervistando direttamente il personale dell’organizzazione per verificare il coinvolgimento del management nelle attività di security.

 

In ultimo viene da chiedersi cosa sia necessario fare con tutte le misurazioni effettuate nei vari ambiti affinché diventino un valore aggiunto per l’organizzazione e non rappresentino solo una serie di dati.

 

Il grafico seguente, ad esempio, mostra il risultato di una possibile IT Control Evaluation effettuata presso un’organizzazione dove le aree verdi indicano i punti di forza, le aree rosse le maggiori criticità e le aree gialli possibili opportunità di miglioramento.

 

IT Control Evaluation

 

Partendo da quanto emerso nel corso della valutazione, l’organizzazione dovrebbe prendere atto di quanto emerso e agire per colmare le eventuali criticità emerse.

 

Come già sottolineato in precedenza è importante ricordare che qualunque strumento o metodologia venga utilizzata per monitorare i controlli di sicurezza, è necessario utilizzare un approccio omnicomprensivo.

 

Nel monitorare i controlli di security IT è necessario definire:

  • la tipologia del controllo (es. tecnico, organizzativo, …)
  • periodicità del controllo (giornaliero, settimanale, trimestrale, annuale, …)
  • le modalità di monitoraggio (a campione, esaustivo, legato ad un evento, …)
  • le modalità di valutazione del controllo (tramite tool, manuale, …)
  • le registrazioni necessarie per verificare il controllo (email, report, …)

 

I controlli di sicurezza – maturità dei controlli

 

Nel monitorare un controllo è necessario valutare la sua maturità: spesso infatti non è sufficiente limitarsi all’affermare che il controllo c’è o non c’è, ma è necessario un livello di granularità più specifico: il controllo è appena stato attuato su un ambito pilota, il controllo esiste anche se non c’è documentazione a supporto, il controllo fa parte della normale operatività.

In questo senso uno strumento utile per valutare il livello di maturità di un controllo è il Capacity Maturiry Model (CMM)

 

La tabella seguente riporta i livelli di maturità previsti dal CMM

 

Livello Descrizione
L0 Inesistente
L1 Iniziale / ad hoc
L2 Riproducibile ma intuitivo
L3 Processo definito
L4 Gestito e misurabile
L5 Ottimizzato

 

Il CMM può essere utilizzato per valutare la maturità di qualsiasi controllo ed è utile a tenere la storia dell’evoluzione dei controlli di sicurezza all’interno dell’organizzazione.

Quindi si può pensare di integrare il CMM all’interno di qualsiasi metodologia di IT Control Evaluation.

Utilizzare un approccio non standard può sicuramente spaventare ma nei contesti dove è stato applicato ha portato indubbi benefici, in quanto una metodologia deve essere sufficientemente generale da poter coprire tutti i contesti ma non può coprire tutte le specificità che si possono ritrovare all’interno di una organizzazione.

 

I controlli di sicurezza come un punto di forza

In funzione di quanto emerso dalle considerazioni effettuate precedentemente, gli aspetti relativi al monitoraggio dei controlli di sicurezza IT, per quanto ad oggi molto spessi trascurati, sono un punto essenziale per garantire un livello minimo di sicurezza nei sistemi informativi delle organizzazioni. Per tale attività “critica” l’organizzazione deve impiegare personale qualificato (sia interno che esterno) che possa valorizzare al massimo l’investimento effettuato.

Utilizzando questo approccio i controlli di sicurezza implementati non saranno solo un obbligo imposto da normative cogenti o standard di settore, ma uno strumento che realmente aiuta l’organizzazione a migliorare in maniera continua la sicurezza dei suoi processi IT contribuendo a far percepire la sicurezza non come un costo, ma come un investimento volto a produrre un ritorno.

 

05/05/2015 - Paolo Sferlazza, Security Advisory Team @ Mediaservice.net

 


[1] http://rm-inv.enisa.europa.eu/methods